کمیته رکن چهارم – پژوهشگران امنیت سایبری از شناسایی یک آسیبپذیری با شدت بالا در Amazon Q Developer خبر دادند که میتوانست با استفاده از یک مخزن گیت مخرب، کد دلخواه را روی سیستم توسعهدهندگان اجرا کرده و اعتبارنامههای سرویسهای ابری را سرقت کند. آمازون این نقص را با انتشار بهروزرسانی امنیتی برطرف کرده است.
به گزارش کمیته رکن چهارم، این آسیبپذیری با شناسه CVE-2026-12957 و امتیاز ۸.۵ به نحوه پردازش فایلهای پیکربندی سرورهای Model Context Protocol (MCP) مربوط میشود. پژوهشگران Wiz Research اعلام کردند که تنها با قرار دادن یک فایل پیکربندی در یک مخزن، امکان اجرای دستورات روی سیستم توسعهدهنده و دسترسی به اطلاعات حساسی مانند کلیدهای AWS، توکنهای API و سایر متغیرهای محیطی فراهم میشد.
پس از گزارش این نقص، آمازون سازوکار اجرای سرورهای MCP را تغییر داده و اکنون پیش از اجرای سرورهای ناشناس، از کاربر تأییدیه دریافت میکند.
این آسیبپذیری افزونههای Amazon Q برای Visual Studio Code، JetBrains، Eclipse و Microsoft Visual Studio را تحت تأثیر قرار میداد. آمازون به کاربران توصیه کرده است افزونههای خود را به آخرین نسخه بهروزرسانی کنند؛ نسخهای که علاوه بر این نقص، آسیبپذیری دیگری مرتبط با نوشتن فایل خارج از محدوده Workspace را نیز برطرف میکند.
بر اساس اطلاعات منتشرشده، تاکنون گزارشی از سوءاستفاده از این آسیبپذیری در حملات واقعی منتشر نشده است.
پژوهشگران هشدار دادهاند که این مشکل نمونه دیگری از ضعف در مدیریت فایلهای پیکربندی دستیارهای برنامهنویسی مبتنی بر هوش مصنوعی است و توسعهدهندگان باید فایلهای موجود در مخازن را همواره بهعنوان ورودیهای غیرقابل اعتماد در نظر بگیرند.
منبع: BleepingComputer
